学习信息安全工程师教程之《信息安全基础概念》

      本课程主要学习一下信息安全的基础概念知识。信息安全是指信息网络的硬件、软件以及系统中的数据受到保护，不受偶然的或者恶意的原因而遭到更改、破坏、泄露，系统连续可靠正常地运行，信息服务不中断。

　　信息安全是信息的影子，哪里有信息哪里就存在信息安全问题。当前，一方面是信息技术与产业的空前繁荣。另一方面危害信息安全的事件不断发生，敌对势力的破坏、恶意软件的入侵、黑客攻击、和用计算机犯罪、网络有害信息泛滥、个人隐私泄露等，对信息安全构成了极大威胁，信息安全的形势是严峻的。

　　计算机病毒己超过几万种，而且还在继续增加。追求经济和政治利益、团体作案、形成地下产业链，已经成为计算机病毒事件的新特点。利用计算机进行经济犯罪己超过普通经济犯罪。当前，钓鱼网站、电信诈骗、QQ诈骗等犯罪活动，已经成为直接骗取民众钱财的常见形式，严重扰乱了社会治安。

　　随着计算机网络的广泛使用，网上有害信息泛滥，个人隐私泄露严重，严重危害网民的身心健康，危害社会的安定团结。因此，网络环境亟待治理和规范。在信息化社会中，计算机和网络在军事、政治、金融、工业、商业、人们的生活和工作等方面的应用越来越广泛，社会对计算机和网络的依赖越来越大，如果计算机和网络系统的信息安全受到危害将导致社会的混乱并造成巨大损失。因此，信息的获取、传输、处理及其安全保障能力成为一个国家综合国力和经济竞争力的重要组成部分，信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素之一。信息安全已成为世人关注的社会问题和信息科学与技术领域的研究热点。

　　下面，我们就来了解一下信息安全概念中的一些基本知识吧。

　　1、信息安全的基本属性：

　　(1) 信息的完整性:信息是正确的、真实的、未被篡改的、完整无缺的属性；

　　(2) 信息的可用性:信息可以随时正常使用的属性；

　　(3) 信息的秘密性:信息不被未授权者知晓的属性。

　　2、信息系统安全层次

　　众所周知，能源、材料、信息是支撑现代社会大厦的三根支柱。在这三根支柱中能源和材料是具体的、物质的，而信息是抽象的、逻辑的。信息论的基本知识告诉我们，信息是内涵，系统是载体。信息不能脱离它的载体商孤立存在!因此我们不能脱离信息系统而孤立地谈论信息安全。而应当从信息系统安全的视角来审视和处理信息安全问题。

　　据此，从纵向来看，信息系统安全可以划分为以下四个层次:数据安全，设备安全，行为安全，内容安全。其中数据安全即是传统的信息安全。

　　(1)数据安全

　　采取措施确保数据免受未授权的泄露、篡改和毁坏。

　　·数据的可用性：数据可以随时正常使用的属性；

　　·数据的秘密性：数据不被未授权者知晓的属性；

　　·数据的完整性：数据是正确的、真实的、未被篡改的、完整无缺的属性。

　　信息系统的设备安全是信息系统安全的物质基础，但是仅仅有信息系统的设备安全是远远不够的。即使计算机系统的设备没有受到损坏，其数据安全也可能己经受到危害。如机密数据可能泄露，数据可能被篡改。由于危害数据安全的行为在银多情况下并不留下明显痕迹，因此常常在数据安全已经受到危害的情况下，用户还不一定能够发现。因此，必须在确保信息系统设备安全的基础之上，进一步确保数据安全。

　　(2)设备安全

　　信息系统设备的安全是信息系统安全的首要问题。这里主要包括三个侧面：

　　·设备的可靠性：设备能在一定时间内正常执行任务的概率；

　　·设备的稳定性：设备在一定时间内不出故障的概率；

　　·设备的可用性：设备随时可以正常使用的概率。

　　信息系统的设备安全是信息系统安全的物质基础，如果失去了这个物质基础，信息系统安全就变成空中楼阁。对信怠设备的任何损坏都将危害信息系统的安全。例如，人为破坏、火灾、水灾、雷击等都可能导致信息系统设备的损坏。除了硬件设备外，软件系统也是一种设备。也要确保软件设备的安全。信息安全行业中的一句行话"信息系统设备稳定可靠的工作是第一位的安全"用通俗的语言精辟地说明了信息系统设备安全的基础作用。

　　(3)行为安全

　　数据安全本质上是一种静态的安全，而行为安全是一种动态安全。

　　·行为的完整性:行为的过程和结果不能危害数据的完整性，行为的过程和结果是预期的；

　　·行为的秘密性:行为的过程和结果不能危害数据的秘密性。必要时，行为的过程和结果也应是秘密的；

　　·行为的可控性:当行为的过程出现偏离预期时，能够发现、控制或纠正。

　　信息系统的服务功能，最终是通过系统的行为提供给用户的。因此，只有确保信息系统的行为安全，才能最终确保系统的信息安全。行为体现在过程和结果之中，因此行为安全是一种动态安全。在信息系统中除了硬件之外，还有数据和软件。数据可以影响程序的执行走向，从而可以影响系统的行为。软件在静态存储时也是一种数据，而软件在运行时表现为程序的执行序列。程序的执行序列和相应的硬件动作构成了系统的行为。因此，信息系统的行为由硬件、软件和数据共同确定。所以，必须从硬件、软件和数据三方面来确保系统的行为安全。

　　(4)内容安全

　　内容安全是信息安全在法律、政治、道德层次上的要求。

　　·信患内容符合国家的法律法规；

　　·信息内容在政治上是健康的；

　　·信息内容符合中华民族优良的道德规程。

　　除此之外，广义的内容安全还包括信息内容保密、知识产权保护、信息隐藏和隐私保护等诸多方面。

　　数据是用来表达某种意思的，因此只确保数据不泄密和不被篡改也还是远远不够的。还要确保数据所表达的内容是健康的、合法的、道德的。如果数据中充斥着不健康的、违法的、违背道德的内容，即使它是保密的、未被篡改的，也不能说是安全的。因为这会危害国家安全、危害社会稳定、危害精神文明。因此，必须在确保信息系统设备安全和数据安全的基础上，进一步确保信息内容的安全。

　　3、信息安全所面临的危胁

　　(1)自然威胁：各种自然灾害，恶劣的场地环境，电磁辐射，电磁干扰，网络设备自然老化等；

　　(2)人为威胁：人为威胁又包含偶然事故(无意威胁)和恶意攻击。

　　偶然事故

　　意外损失：电力线路漏电、搭线等；

　　管理不善：维护不力，管理松懈等；

　　操作失误：未经允许使用，操作不当，误用存储媒介等；

　　编程缺陷：经验、水平不足，检查疏忽等；

　　意外丢失：数据被盗、被非法复制，设备、传输媒介失窃等。

　　恶意攻击：又分为被动攻击和主动攻击。

　　被动攻击：在不干扰网络信息系统正常工作的情况下，进行破译，截获，窃取，侦收，业务流量分析以及电磁泄漏等；

　　主动攻击：有选择性的修改、添加、删除、重放、伪造、冒充、乱序信息以及制造病毒等。

　　4、信息系统安全的研究方向

　　信息系统是信息的载体，是直接面对用户的服务系统。用户通过信患系统得到信息的服务。信息系统安全的特点是从系统整体上考虑信患安全的威胁与防护。其主要的研究内容有;

　　·信息系统的硬件系统安全；

　　·信息系统的软件系统安全；

　　·访问控制；

　　·可信计算；

　　·信息系统安全测评认证；

　　·信息系统安全等级保护；

　　·信息系统的安全威胁；

　　·应用信息系统安全。

　　上面所罗列出的知识信息安全基础的一部分内容，学习这些内容希望能给大家带来一些帮助。当然啦，信息安全的基础知识并不只有上面所写的那些内容，如果大家感兴趣或者想要更深一步进行系统学习相关知识的话，可以推荐大家到课课教育进行学习哟。